89 votos

¿Cómo puedo saber si hay un pícaro servidor DHCP en la Red?

¿Cuál es el mejor enfoque hacia la determinación de si tengo un rogue DHCP server dentro de mi red?

Me pregunto cómo la mayoría de los administradores de enfoque de este tipo de problemas. He encontrado DHCP "Sonda" (http://www.net.princeton.edu/software/dhcp_probe/) a través de la búsqueda, y el pensamiento acerca de probarlo. Alguien ha tenido experiencia con esto? (quisiera saber antes de tomar el tiempo para compilar e instalar).

¿Conoces algún herramientas útiles o las mejores prácticas para la búsqueda de rogue DHCP servidores?

53voto

Zoredache Puntos 84524

Un método simple es ejecutar un sniffer como tcpdump/wireshark en una computadora y enviar una solicitud de DHCP. Si usted ve cualquier oferta otras, a continuación, a partir de su real DHCP server, a continuación, usted sabe que tiene un problema.

21voto

aphoria Puntos 8128

Para recapitular y agregar a algunas de las otras respuestas:

Deshabilitar temporalmente su producción DHCP server y otros servidores de responder.

Usted puede obtener la dirección IP del servidor ejecutando ipconfig /all en una máquina windows y, a continuación, usted puede obtener la dirección MAC mediante la búsqueda de la dirección IP usando arp -a.

En un Mac, ejecute ipconfig getpacket en0 (o en1). Ver http://www.macosxhints.com/article.php?story=20060124152826491.

El servidor DHCP de la información es generalmente en /var/log/messages. sudo grep -i dhcp /var/log/messages*

La desactivación de la producción de servidor DHCP no puede ser una buena opción, por supuesto.

El uso de una herramienta que busca específicamente rogue DHCP servidores

Ver http://en.wikipedia.org/wiki/Rogue_DHCP para obtener una lista de herramientas (muchas de las cuales fueron mencionadas en otras respuestas).

Configurar los interruptores para bloquear DHCP ofrece

La mayoría de los switches gestionados se puede configurar para evitar rogue DHCP servidores:

16voto

vartec Puntos 4819

dhcpdump, que toma la forma de entrada de tcpdump y sólo muestra DHCP relacionados con los paquetes. Me ayudó a encontrar rootkited Windows, haciéndose pasar por falsos DHCP en nuestra red LAN.

15voto

Dave K Puntos 2198

El Wireshark / DHCP explorer / DHCP de la Sonda enfoques son buenas para una sola vez o periódicamente de verificación. Sin embargo, yo recomiendo mirar en el Snooping DHCP en su red. Esta opción le proporcionará una protección constante de pícaro de servidores DHCP en la red, y es apoyado por muchos de los diferentes proveedores de hardware.

Aquí es el conjunto de características como se indica en el Cisco docs.

• Valida los mensajes DHCP recibida de fuentes no confiables y filtros de mensajes no válidos.

• La tasa de los límites de tráfico DHCP de confianza y de fuentes no confiables.

• Construye y mantiene el DHCP snooping de unión de la base de datos, que contiene información sobre los hosts que no son de confianza del alquiler de las direcciones IP.

• Utiliza el DHCP snooping de unión de la base de datos para validar las solicitudes posteriores de hosts que no son de confianza.

9voto

Kyle Brandt Puntos 50907

Scapy es una pitón de paquetes basado en la elaboración de la herramienta que es bueno para este tipo de tareas. Hay un ejemplo de cómo hacerlo aquí.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: